È stata rinominata PDFex (acronimo di “PDF exfiltrate”) una nuova metodologia di attacco che, in particolari condizioni, può consentire di estrarre il contenuto dei file PDF criptati o protetti da password e memorizzarlo in un file di testo normale.
Scoperta dai ricercatori tedeschi dell’Università della Ruhr a Bochum e dell’Università di Münster, la nuova tecnica di hacking PDFex sfrutta alcune debolezze nel sistema di protezione dello standard crittografico 256-bit AES utilizzato dal formato PDF (Portable Document Format).
L’attacco PDFex non consente ai criminal hacker di scoprire o rimuovere la password di protezione di un documento PDF criptato, ma di estrarre da remoto il contenuto una volta che un utente legittimo apre quel particolare documento.
Indice degli argomenti
Come funziona l’attacco PDFex
Per raggiungere il loro scopo criminale, gli aggressori possono sfruttare i comuni visualizzatori PDF che tutti noi utilizziamo comunemente per leggere questa tipologia di documenti e che sono in grado di gestire lo standard crittografico nativo del formato.
In altre parole, se sfruttato con successo, un attacco PDFex consentirebbe agli aggressori di “accedere” al contenuto di un documento PDF protetto quando l’utente, usando la password segreta, apre il documento nel visualizzatore: in quello stesso momento, il file invierà automaticamente una copia del contenuto decifrato a un server remoto controllato dagli aggressori.
I test effettuati dai ricercatori tedeschi hanno confermato che 23 dei 27 visualizzatori PDF più diffusi sono vulnerabili ad almeno una delle due topologie di attacco PDFex e la maggior parte di essi è risultata vulnerabile ad entrambi gli attacchi.
In particolare, l’elenco di visualizzatori PDF interessati include versioni per Windows, MacOS e Linux tra cui:
- Adobe Acrobat
- Foxit Reader
- Okular
- Evince
- Nitro Reader
oltre a quelle integrate nei principali browser Web:
- Chrome
- Firefox
- Safari
- Opera
PDFex: scenari di attacco
Secondo quanto scoperto dai ricercatori tedeschi, l’attacco PDFex è attuabile a causa di due debolezze nel sistema crittografico del formato PDF:
- la prima consiste nella crittografia parziale dei documenti. La specifica PDF standard, infatti, consente di crittografare solo alcune parti del file: gli oggetti che definiscono la struttura del documento rimangono accessibili in chiaro. Ciò consente offre ai criminal hacker l’opportunità di manipolare facilmente la struttura del documento per iniettarvi un payload dannoso;
- la seconda debolezza risiede, invece, nella modalità crittografica CBC (Cipher Block Chaining) che non richiede controlli di integrità e che quindi può essere sfruttata dagli aggressori per creare parti di testo cifrato auto-esfiltranti.
In entrambi i casi, i criminal hacker dovrebbero comunque avere avuto accesso al documento PDF, ma non ne conoscono né la password né le chiavi di decrittazione.
A questo punto, l’aggressore può modificare la struttura i file criptati o aggiungere nuovi oggetti non criptati e poi “rimandare” i file modificati alla vittima.
Così facendo, vengono a crearsi due possibili scenari di attacco:
- senza interazione con l’utente: in questo caso, tutto ciò che serve agli aggressori è aprire il file PDF modificato e visualizzare il contenuto.
- con l’interazione dell’utente: in questo scenario di attacco la vittima deve interagire con il documento PDF, anche solo con un semplice clic del mouse.
I dettagli per mitigare il rischio di attacco
I ricercatori di sicurezza tedeschi precisano, comunque, che per realizzare appieno uno dei due scenari di attacco i criminal hacker dovrebbero riuscire ad avere il controllo sulle modalità di visualizzazione del documento.
Gli stessi ricercatori, inoltre, hanno già segnalato le vulnerabilità ai produttori di visualizzatori PDF esposti ad un possibile attacco e contemporaneamente hanno proposto adeguate misure di mitigazione. Tuttavia, sostengono i ricercatori, per eliminare in modo definitivo la causa principale delle vulnerabilità è necessario aggiornare lo standard PDF.
Le vulnerabilità possono essere tracciate come CVE-2018-16042, CVE-2018-18688 e CVE-2018-18689.
Ulteriori dettagli tecnici sugli attacchi PDFex sono contenuti nella relazione tecnica pubblicata dai ricercatori sul sito PDF Insecurity.
